Partager via


Fonctionnalités de chiffrement Microsoft 365 pour la conformité du gouvernement australien avec PSPF

Cet article fournit une vue d’ensemble des fonctionnalités de chiffrement Microsoft 365 pertinentes pour les organisations gouvernementales australiennes. Son objectif est d’aider les organisations gouvernementales à accroître la maturité de leur sécurité des données tout en respectant les exigences décrites dans le Cadre de stratégie de sécurité de protection (PSPF) et le Manuel de sécurité des informations (ISM).

Le chiffrement est une partie importante de votre stratégie de protection des fichiers et de protection des informations, et il est une exigence de la stratégie 8 du Protection Security Policy Framework (PSPF) Annexe A.

Les services Microsoft 365 assurent le chiffrement des données au repos et en transit. Pour plus d’informations, consultez chiffrement et fonctionnement dans Microsoft 365.

Les fonctionnalités de chiffrement inhérentes à la plateforme Microsoft 365, telles que le chiffrementBitLocker et TLS, doivent être considérées comme pertinentes pour les exigences de chiffrement du gouvernement australien. En plus de ces fonctionnalités innées, il existe d’autres fonctionnalités de chiffrement facultatives qui peuvent être appliquées aux éléments pour garantir que seuls les utilisateurs autorisés peuvent y accéder. Les éléments pertinents pour l’alignement PSPF sont les suivants :

Le chiffrement est simple à appliquer au sein d’un organization. Le partage de chiffrement avec des organisations externes nécessite une attention supplémentaire, que ce guide couvre, pour garantir l’alignement dans le contexte des exigences du gouvernement australien et du PSPF.

Exigences de chiffrement du gouvernement australien

Exigences en matière de chiffrement, de transmission et d’accès détaillées dans l’annexe A de la Politique 8 du PSPF.

Le chiffrement est généralement pertinent pour les exigences de transmission, mais différents types de chiffrement sont également pertinents pour l’accès et le besoin de connaître, par exemple Azure Rights Management. Azure Rights Management confirme l’autorisation d’accéder aux éléments au moment de l’accès. Azure Rights Management garantit que les informations exfiltrées ou distribuées de manière inappropriée ne sont pas accessibles par des personnes non autorisées. Voici un extrait des exigences pertinentes du PSPF.

Classification Configuration requise
OFFICIEL1 Il est recommandé de chiffrer toutes les informations communiquées sur l’infrastructure réseau publique.
Le principe du besoin de connaître est recommandé pour les informations OFFICIELLES.
Il n’existe aucune exigence d’autorisation de sécurité pour l’accès aux informations OFFICIELLES.
OFFICIAL : Sensible Chiffrer OFFICIAL : informations sensibles transférées sur l’infrastructure réseau publique ou via des espaces non sécurisés (y compris les zones de sécurité de zone 1), sauf si le risque de sécurité résiduel de ne pas le faire a été reconnu et accepté par l’entité.
Le principe du besoin de savoir s’applique à toutes les informations sensibles OFFICIAL : .
Il n’existe aucune exigence d’autorisation de sécurité pour l’accès à OFFICIAL : Informations sensibles.
PROTÉGÉ Chiffrez les informations PROTECTED pour toute communication qui ne se trouve pas sur un réseau PROTECTED (ou réseau de classification supérieure).
Le principe du besoin de connaître s’applique à toutes les informations PROTÉGÉES.
L’accès continu aux informations PROTÉGÉES nécessite une autorisation de sécurité de référence ou supérieure.

Conseil

1Les fonctionnalités de chiffrement Microsoft 365 facultatives, comme Azure Rights Management, affectent les utilisateurs internes et les utilisateurs externes qui reçoivent des éléments de votre organization. Lorsque vous envisagez d’utiliser des outils avancés tels qu’Azure Rights Management, une approche intermédiaire est recommandée, avec des fonctionnalités de chiffrement facultatives appliquées initialement aux éléments de sensibilité supérieure. Les organisations doivent prendre en compte les cas d’utilisation internes et externes des utilisateurs lorsqu’elles décident comment suivre l’approche recommandée par PSPF pour chiffrer les informations OFFICIELLES. Cette décision doit faire l’objet d’une évaluation soigneuse des risques ; équilibrer le risque d’interception de contenu pour les éléments relativement peu sensibles par rapport à l’impact organisationnel des éléments non envoyés ou inaccessibles par un destinataire.

Le tableau suivant décrit la configuration requise et la méthode pour y parvenir.

Catégorie de conditions requises Méthode de réalisation
Chiffrement pendant la transmission - Le chiffrement TLS répond aux exigences de transmission en chiffrant les fichiers et les e-mails pendant la transmission, ainsi que les interactions entre l’appareil client et les services Microsoft 365.

- Le chiffrement des étiquettes de confidentialité s’applique aux fichiers et aux e-mails. Lorsque des éléments sont chiffrés, ils sont chiffrés pendant la transmission, tout en continuant à répondre aux exigences de chiffrement PSPF.

- Chiffrement de messages Microsoft Purview crée les règles pour appliquer le chiffrement aux e-mails et aux pièces jointes pendant la transmission.
Vérifier le besoin d’en savoir - Le chiffrement des étiquettes de confidentialité garantit le besoin de connaître en autorisant uniquement les utilisateurs authentifiés disposant d’autorisations sur les éléments à les ouvrir.

- Chiffrement de messages Microsoft Purview garantit que seuls les destinataires spécifiés ont la possibilité d’ouvrir des e-mails chiffrés et leurs pièces jointes.
Vérifier l’attestation de sécurité - Le chiffrement des étiquettes de confidentialité garantit que les utilisateurs disposent d’autorisations appropriées en autorisant uniquement les utilisateurs qui disposent d’autorisations pour ouvrir des éléments chiffrés.

Considérations relatives au chiffrement du gouvernement australien

Au sein du gouvernement australien, les exigences en matière de collaboration et de distribution de l’information varient en fonction du type de organization. Certaines organisations travaillent en grande partie de manière isolée, ce qui simplifie la configuration du chiffrement. D’autres ont des exigences pour partager continuellement des informations sensibles avec d’autres organisations et doivent planifier en conséquence.

Les exigences de transmission chiffrée sont satisfaites par le biais de réseaux PROTÉGÉS. Pour le courrier électronique, l’utilisation de la configuration TLS basée sur les étiquettes, comme indiqué dans Exiger le chiffrement TLS pour la transmission d’e-mails sensibles , est bénéfique. Vous pouvez également configurer des connecteurs partenaires sécurisés, comme indiqué dans Configurer des connecteurs pour le flux de messagerie sécurisé avec un organization partenaire dans Exchange Online.

Les contrôles de chiffrement qui s’appliquent pendant la transmission ne protègent pas des éléments individuels tels que l’utilisation d’une clé USB. Les organisations gouvernementales implémentent d’autres contrôles pour atténuer ces risques, qui peuvent varier en fonction de l’appareil. Par exemple, la désactivation des ports USB dans l’UEFI est simple avec un ordinateur portable Microsoft Surface. D’autres options pour les appareils non-Microsoft utilisés sont le collage de ports USB et le logiciel de gestion des appareils qui applique l’utilisation de lecteurs USB chiffrés. Le chiffrement basé sur les étiquettes offre une alternative à certains de ces contrôles et protège en outre les éléments contre tout accès non autorisé s’ils sont exfiltrés.

Pour faciliter la navigation dans les options, ce guide décrit les options de chiffrement en ligne avec les catégories de organization suivantes :

Organisations avec des exigences simples en matière de collaboration et de distribution des informations

Les organisations qui ont des exigences simples en matière de partage d’informations sensibles bénéficient grandement du chiffrement basé sur les étiquettes et des organisations qui doivent répondre aux exigences de transmission et d’accès les plus élémentaires. Ces organisations :

  • Vous devez vous assurer que leurs autorisations de chiffrement s’adressent aux invités ou aux organisations avec lesquels ils collaborent ou envoient des informations chiffrées, et
  • Obtenez l’assurance que seules les personnes ajoutées à leurs autorisations de chiffrement peuvent accéder aux éléments chiffrés, ce qui vous permet de vous assurer que les principes de nécessité de connaître sont respectés.

Conseil

Les organisations gouvernementales d’État sont plus susceptibles d’appartenir à cette catégorie, car leurs scénarios de partage d’informations sont plus simples que ceux du gouvernement fédéral.

Organisations ayant des exigences complexes en matière de collaboration et de distribution des informations

Les organisations ayant des exigences complexes incluent généralement des services plus importants qui partagent de grands volumes d’informations avec d’autres organisations. Ces types d’organisations sont susceptibles d’avoir déjà établi des processus pour répondre aux exigences de chiffrement, y compris l’accès aux réseaux protégés pour la communication inter-services. Ces organisations :

  • Tirer parti du chiffrement d’étiquettes Microsoft 365 basé sur le cloud, en particulier dans les situations où des éléments sont exfiltrés en tant que chiffrement garantit que seuls les utilisateurs autorisés peuvent accéder aux éléments, quel que soit l’endroit où ils résident.
  • Doit envisager une configuration de chiffrement plus ouverte, y compris l’utilisation de listes de domaines gouvernementaux dans leurs autorisations de chiffrement pour garantir que les utilisateurs d’autres services peuvent accéder aux éléments qui leur sont envoyés.
  • Vous devez tester que le chiffrement Microsoft 365 n’interfère pas avec les contrôles existants, y compris toute utilisation actuelle des connecteurs pour router Exchange Online courrier généré vers des services locaux afin qu’ils puissent ensuite être envoyés via des réseaux protégés.

Remarque

Azure Rights Management chiffrement n’est pas une exigence stricte pour le déploiement de Microsoft Purview ou pour la protection des informations dans les services Microsoft 365. Toutefois, le chiffrement basé sur les étiquettes est considéré comme l’une des méthodes les plus efficaces pour s’assurer que les données provenant ou résidant dans des environnements Microsoft 365 sont protégées contre les accès non autorisés, en particulier une fois qu’elles ont quitté l’organisation.